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Virus Pemusnah Massal 


Virus Pemusnah Massal 


Bagaikan senjata pemusnah 


massal yang sangat menakutkan 


itu, virus ini juga ternyata 
memiliki peran yang tidak jauh 
berbeda. Bagaimana tidak 
ngeri, coba Anda bayangkan 


apabila data atau dokumen yang 
dikerjakan sehari, sebulan, atau 


bahkan bertahun-tahun hilang 
begitu saja. 


Arief Prabowo 


ita pasti kesal apabila itu terjadi. Dan 

dapat Anda bayangkan, itu mungkin 
baru satu komputer, tapi bagaimana bila 
misalnya itu terjadi pada satu kantor atau 
mungkin satu kota? Gak kebayang kan 
berapa total kerugiannya. Tapi, memang 
itulah sedikit gambaran yang terjadi, yang 
pada beberapa waktu yang lalu sempat 
membuat heboh. 

Virus penghancur data ini dikenal oleh 
PCMAV sebagai virus Aduhai. Dan PCMAV 
sudah mengenali dua jenis varian dari virus 
ini, yakni Aduhai.A dan Aduhai.B. Ia dibuat 
menggunakan bahas Visual Basic yang di- 
compile dengan metode P-Code. Virus yang 
ber-icon-kan mirip folder standar Windows 
ini juga di-compress menggunakan UPX. 
Sehingga ukuran file/tubuhnya menjadi 


Current Operation 


Objects Scanned : Scan stopped by user 
ed ; 4 


14 
1 10851 file(s) and 894 Folders) scanned. Scan is finished (elapsed time: 0:28:21.531).. 


Fie Name Virus Name Information 

[CI CAWINDOWS\system32EBRR. EE Adha. 8 This object was deanedi 
Ociwnoowsisvchosr.zxe Aduhai This object was deanedi 
Docivatatutaduhar.. exo Aduhal.B This object was deanedi 


ai 
[C:\Documents and SettingsiTesterikocal Set... Aduha.B 


ID Media Antivi 


PCMAV dapat mengatasi virus Aduhai. 


68 virus 


% Database 


Q= (>) 3 JO Search (C5 Folders 


© C:\Documents and SettingsiTester/DesktopiDatabase 


Al Name a 
[N cantik.bmp 


(ol Picture Tasks 


II View as a slide show 


Cantik. bmp - Windows Picture and 


Menciptakan file bergambar Dian Sastro. 


sebesar 43.008 bytes untuk Aduhai.A dan 
42.496 bytes untuk Aduhai.B. 

Pada sistem yang kami uji coba, virus ini ber- 
jalan mulus pada Windows 98 SE dan Windows 
XP. Antivirus lain ada yang mengenal virus ini 
dengan nama Pacar, DelCanti, atau VB.AN. 
Bahkan ada beberapa antivirus luar menyebut- 
kan bahwa virus ini masih merupakan varian 
dari virus Brontok/Rontokbro.Kenapa bisa gitu 
ya? Padahal ia bukanlah varian dari Brontok, 
karena ini adalah virus yang berbeda. 


Infeksi File dan Memory 

Pada saat kali pertama virus dijalankan, ia 
akan membuat beberapa file induk yang ia 
tanamkan pada sistem tersebut, di antaranya 
pada 96 WINDOWS %\SVCHOST.EXE, \% WIN- 
DOWS %\system\SVCHOST.EXE, 196 SYS- 
TEM32 90VEBRR.EXE, dan 196SYSTEM32 901 
mmtask.exe. Lalu ia memanggil keempat file 
induk tersebut agar aktif di memory. Jadi pada 
memory paling tidak terdapat empat buah pro- 
cess dari virus tersebut dengan nama process 
sama seperti nama file induknya. 

Apabila virus ini berjalan pada operating 
system Windows 98, process dari virus ini ti- 
dak akan terlihat pada Task Manager karena 
ia sembunyikan dengan cara meregister 
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process-nya sebagai service dengan menggu- 
nakan perintah API RegisterServiceProcess. 

Virus Aduhai ini juga akan saling menjaga 
keharmonisan hubungan antartemannya di 
memory. Contohnya apabila dari keempat 
process virus tersebut ada yang hilang dari 
memory, entah itu sengaja di-kill oleh user 
atau karena sebab lain, maka dengan segera 
virus akan memanggil kembali process yang 
hilang itu. Ini merupakan salah satu cara sang 
virus agar susah dibunuh. 

la juga akan memonitor setiap aplikasi 
yang dijalankan dan mencari setiap window 
dengan class berupa "CabinetWClass", 
yang mana class ini merupakan bagian dari 
class Windows Explorer untuk mencari tau 
drive/direktori yang sedang diakses oleh user. 
Apabila drive tersebut berupa Removeable 
Disk seperti contohnya Disket atau FlashDisk, 
ia akan segera membuat duplikat file virus 
ke drive tersebut. Tentunya menggunakan 
nama-nama file yang menarik, agar user 
tertarik mengkliknya. 

Beberapa nama file tersebut, di antaranya 
"Agnes Monica.exe”, “Foto Pacar.exe", 
“Bekas Pacar.exe”, “Dian Sastro.exe”, dan 
lain sebagainya. Lalu, setelah file tersebut 
berhasil diciptakan, ia akan langsung meng- 
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eksekusinya. Alhasil, file tersebut tidak bisa 
dihapus karena masih aktif di memory. 


Infeksi Registry 

Seperti halnya virus lain, Aduhai juga akan 
menginfeksi registry. Pada sistem Windows 
XP, ia akan menginfeksi registry yang terletak 
pada HKLMSOFTWARE Microsofi Windows 
NNCurrentversionWinlogoniShell dan 
HKCUNSOFTWARE Microsoft Windows NN 
CurrentversionWinlogonShell dengan cara 
mengalihkan nilai dari Shell tersebut yang 
seharusnya mengarah kepada file "explorer. 
exe' dialihkan agar mengarah kepada file 
induk virus tersebut. 

Sementara itu pada Windows 98, ia akan 
menginfeksi key HKLMISoftware Microsoft! 
WindowsiCurrentversiomRunServicesOncel 
dengan menambahkan item dengan nama 
“By: 05062705056127019455” dan pada 
key HKLMISoftware Microsoft Windows 
CurrentVersiomRunServicesOnce/ dengan 
menambahkan item "Made In Ambon Ma- 
nise—Sebagai PeSaN Anti korupsi”. 

Nilai dari kedua item tersebut juga di- 
arahkan kepada file induk virus. Dengan 
menginfeksi run section pada key-key registry 
tersebut, nantinya saat memulai Windows 
virus ini akan aktif otomatis. 

Apabila Anda lihat pada Windows Ex- 
plorer, pasti setiap file aplikasi/executable 
type information-nya berupa “File Folder" 
bukan seperti yang biasanya, yakni “ Applica- 
tions”. Itu bisa terjadi karena virus tersebut 
mengubah nilai registry pada HKLMISOFT- 
WARENCLASSE SNexefilel, yang tadinya berupa 
“Applications” menjadi “File Folder”. 

Dan walaupun pada virus ini Folder Op- 
tions tidak disembunyikan seperti halnya 
yang dilakukan oleh virus-virus lain, tapi tetap 
saja ia mengisenginya dengan memanipulasi 


nilai default dari beberapa item pada registry 
untuk Folder Options tersebut. Yakni, pada 
HKLMSOFTWARE WicrosoftWindowsi 
CurrentversionExplorerAdvancedFolden 
HideFileExfUncheckedValue dan HKLM\ 
SOFTWARE Wicrosoft Windows CurrentVer- 
sionfExplorerAdvancedfFoldenSuperHiddeni 
UncheckedValue. 

Jadi, walaupun Anda melakukan perubah- 
an pada Folder Options untuk menampilkan 
extensions pada setiap file dan menampilkan 
file system, tapi tetap saja tidak akan berpe- 
ngaruh, karena setting-annya akan kembali 
seperti yang telah ia set. 


Saatnya Beraksi 

Virus yang dapat menyebar melalui media 
penyimpan data atau removeable disk seperti 
disket atau flash disk ini juga dapat menyebar 
melalui jaringan melalui sharing directory. 
Yakni, apabila direktori yang di-share me- 
ngandung virus dan virus tersebut diakses 
oleh komputer lain di jaringan tersebut, 
maka komputer yang mengaksesnya juga 
akan terinfeksi. 

Pada saat file virus dieksekusi, ia juga ter- 
kadang akan membuat sebuah direktori di 
bawahnya dengan nama sama seperti nama 
file virus yang dijalankan dan diberi attribut 
system dan hidden agar tidak terlihat. Pada 
saat file virus tersebut diklik ia akan me- 
nampilkan isi dari direktori yang telah ia buat 
sebelumnya itu. Isinya adalah file “Naskah. 
rtf” atau “ Cantik.bmp”. 

Dari tubuh sang virus setelah dilakukan 
proses disassemble, terlihat bahwa ia dipro- 
gram menggunakan sebuah form yang berisi 
tiga buah timer dan satu buah komponen 
image tempat menampung gambar Dian 
Sastro yang nantinya akan di-extract menjadi 
file “Cantik.bmp” tadi. Timer tersebut memi- 
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34 My Computer 


4 objects (Disk free space: 1.14 GB) 83.0 KB 3 


Virus yang mirip dengan folder dan 
| >| type information pada file executable 
yang berubah menjadi “File Folder”. 
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A. Latar Belakang 


Adapun pengembangan dari delapan naga (nagasari, nagabonar, dll). 
Melainkan bukan hewan seperti vermes atau cacing ataupun pisang AMBON." 


For F1 


Pesan dari pembuat virus. 


liki peranan masing-masing. Dan ada salah 
satunya dengan nama KilIBill yang bertugas 
untuk memonitor setiap perubahan waktu 
yang terjadi. 

Seperti yang dikatakan di awal, virus ini 
merupakan virus “pemusnah massal” yang 
dapat menghapus semua data Anda tanpa 
ampun. Itu dapat terjadi apabila pada kom- 
puter Anda bulan menunjukkan pada angka 
10 (Oktober) dan tanggal ganjil. Serta apabila 
bulan menunjukkan pada angka 12 (Desem- 
ber) dan tanggal berapapun. Jika salah satu 
kondisi tersebut terpenuhi, maka ia akan 
menjalankan fungsi DelAllFile seperti yang 
terlihat pada rutin di tubuh virus tersebut. 

Virus ini akan menghapus semua file, 
tanpa terkecuali file systen dari Windows- 
nya sendiri, dan itu pula yang menyebabkan 
komputer tidak bisa booting dengan me- 
nampilkan pesan berupa “NTLDR is missing”. 
Apabila itu terjadi hanya pada satu komputer, 
mungkin belum tentu diakibatkan oleh virus. 
Tapi, bagaimana misalnya bila itu terjadi pada 
sebuah kantor secara serentak? 


Pembasmian dan Pencegahan 
Untuk mengembalikan data yang hilang 
akibat dihapus oleh virus ini, coba dengan 
menggunakan software data recovery, 
mungkin masih bisa diselamatkan. Dan ingat, 
bulan Oktober dan Desember Aduhai akan 
menghapus data Anda, jadi hati-hati dan 
selalu scan komputer Anda dengan antivirus 
update terbaru. PC Media Antivirus sudah 
dapat mengatasi virus ini dengan baik hingga 
tuntas dan akurat 100%. 

Untuk melakukannya, silakan Anda scan 
seluruh drive dengan PCMAV. Namun, 
apabila ternyata PCMAV tidak juga dapat 
mengenali virus Aduhai yang jelas-jelas telah 
menginfeksi komputer Anda, dengan senang 
hati kami akan menerima contoh virus yang 
Anda kirimkan. Kami tunggu! m 
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